据Check Point Research报告,JSCEAL发起了一项新的恶意软件攻击活动,该活动模仿了50个流行的加密平台。该活动利用恶意广告传播虚假应用程序,以攻击用户。.
据估计,全球约有1000万人遭受过此类攻击。该攻击活动利用编译后的JavaScript文件,有效地窃取加密货币钱包和dent。.
恶意广告活动覆盖1000万用户
JSCEAL 的行动在 2025 年上半年曝光了约 35,000 条恶意广告。这些广告在欧盟境内获得了数百万次的浏览量。Check Point Research 认为,全球约有 1000 万人浏览了这些广告。
恶意行为者利用被盗账户或新注册的账号散布恶意内容。推广帖子助长了社交媒体上虚假广告的传播。这些广告大多涉及加密货币、代币和银行。.
此次攻击活动利用了近50家不同的金融机构,并使用伪造的应用程序进行诈骗。不法分子按照一定的命名规则注册域名,用于重定向。顶级域名均以“.com”结尾,符合相应的命名规则。.
该领域内的模式包括 app、download、desktop、PC 和 window 版本。每个词在域名中既可以单独使用,也可以以复数形式使用。组合数学分析表明,符合规则的唯一域名共有 560 个。.
截至发稿时,仅有15%的潜在域名显示已注册。重定向链根据IP地址和引荐来源筛选目标。.
目标范围之外的受害者会收到诱饵网站而非恶意内容。成功重定向到虚假页面需要使用 Facebook 引荐来源网址。该过滤系统帮助攻击者在接触目标受害者的同时避免被检测到。.
Meta的广告库提供了欧盟境内广告覆盖范围的估算数据。保守估计,每条广告至少触达100位用户。该广告活动在欧盟境内的总覆盖人数超过350万。.
考虑到非欧盟国家,其全球影响力很容易超过1000万。亚洲的加密货币和金融机构也在此次活动中被冒充。.
这场运动利用复杂的欺骗手段来逃避侦查。
JSCEAL攻击活动采用了一些特殊的反规避方法,导致其检测率极低。根据Check Point的分析,该恶意软件能够长时间未被发现。这些复杂的技术帮助攻击者绕过多个平台上的传统安全措施。.
受害者点击恶意广告后会被引导至看似合法的虚假网站。这些虚假网站会诱导用户下载看似真实的恶意应用程序。攻击者精心设计这些网站,使其与真实的加密货币平台界面高度相似。.
该恶意软件利用网站和安装软件的同步运行。这种双重策略增加了安全研究人员的分析和检测难度。单独检查各个组件时,它们似乎无害,这使得检测更具挑战性。.
这种欺骗手段让受害者误以为自己安装的是正版软件。与此同时,恶意软件在后台运行,在用户不知情的情况下收集敏感信息。.
该攻击活动专门针对加密货币用户,采用平台冒充策略。攻击者主要针对热门交易应用程序和钱包软件。寻求合法加密货币工具的用户最容易受到攻击。.
Check Point 的研究人员称这种检测规避方法非常有效。传统的安全软件很难dent使用这些方法的威胁。看似合法的界面与隐藏的恶意软件相结合,会造成危险的情况。.
该恶意软件的主要目的是从受感染的设备中收集敏感信息。攻击者收集数据以访问加密货币账户并窃取数字资产。信息收集过程自动进行matic无需用户交互或知情。
JSCEAL 会捕获键盘输入,从而泄露跨应用程序的密码和身份验证dent。其键盘记录功能会记录用户输入的所有内容,包括加密货币钱包密码。他们还会以 Telegram 帐户信息为目标,进行潜在的帐户盗用。.
他们还会收集浏览器 cookie,这些 cookie 会显示受害者经常访问的网站和偏好设置。存储在浏览器中的自动填充密码也可能被攻击者获取。.
